本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 步驟 2:建立 IAM 角色,授予在 Amazon MSK 叢集上建立主題的存取權 在此步驟中,您會執行兩項任務。第一項任務是建立 IAM 政策,用於授予在叢集上建立主題,並將資料傳送至這些主題的存取權限。第二項任務是建立 IAM 角色,並將此政策與該角色建立關聯。在稍後的步驟中,您會建立擔任此角色的用戶端機器,使用它在叢集上建立主題,並將資料傳送至該主題。 **建立能夠建立和寫入主題的 IAM 政策**建立 IAM 政策 1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。 1. 在導覽窗格中,選擇**政策**。 1. 選擇**建立政策**。 1. 在**政策編輯器**中,選擇 **JSON**,然後使用下列 JSON 取代編輯器視窗中的 JSON。 在下列範例中,取代下列項目: + *region*,其中包含您建立叢集 AWS 區域 之 的程式碼。 + 帳戶 ID 範例,*123456789012*,使用您的 AWS 帳戶 ID。 + *MSKTutorialCluster* 和 *MSKTutorialCluster*/*7d7131e1-25c5-4e9a-9ac5-ea85bee4da11-14*,包含您的叢集名稱及其 ID。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:AlterCluster", "kafka-cluster:DescribeCluster" ], "Resource": [ "arn:aws:kafka:us-east-1:123456789012:cluster/MSKTutorialCluster/7d7131e1-25c5-4e9a-9ac5-ea85bee4da11-14" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:*Topic*", "kafka-cluster:WriteData", "kafka-cluster:ReadData" ], "Resource": [ "arn:aws:kafka:us-east-1:123456789012:topic/MSKTutorialCluster/*" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:us-east-1:123456789012:group/MSKTutorialCluster/*" ] } ] } ``` ------ 如需如何撰寫安全政策的說明,請參閱 [IAM 存取控制](iam-access-control.md)。 1. 選擇**下一步**。 1. 在**檢閱和建立**頁面,執行以下作業: 1. 針對**政策名稱**,輸入描述性名稱,例如 **msk-tutorial-policy**。 1. 在此**政策中定義的許可**中,檢閱和/或編輯政策中定義的許可。 1. (選用) 若要協助識別、組織或搜尋政策,請選擇**新增標籤**,將標籤新增為鍵/值對。例如,使用 **Environment**和 的鍵值對將標籤新增至您的政策**Test**。 如需使用標籤的詳細資訊,請參閱《*IAM 使用者指南*》中的[AWS Identity and Access Management 資源的標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。 1. 選擇**建立政策**。 **建立 IAM 角色,並將政策連接至該角色** 1. 在導覽窗格中,選擇**角色**,然後選擇**建立角色**。 1. 在 **Select trusted entity** (選取信任的實體) 頁面上,執行以下作業: 1. 對於 **Trusted entity type** (信任的實體類型),請選擇 **AWS 服務**。 1. 針對**服務或使用案例**,選擇 **EC2**。 1. 在 **Use case** (使用案例) 下,選擇 **EC2**。 1. 選擇**下一步**。 1. 在 **Add permissions** (新增許可) 頁面上,執行以下作業: 1. 在**許可政策**下的搜尋方塊中,輸入您先前為此教學課程建立的政策名稱。然後,選擇政策名稱左側的方塊。 1. (選用) 設定[許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。這是進階功能,可用於服務角色,而不是服務連結的角色。如需有關設定許可界限的資訊,請參閱《*IAM 使用者指南*》中的[建立角色和連接政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions_create-policies.html)。 1. 選擇**下一步**。 1. 在 **Name, review, and create** (命名、檢閱和建立) 頁面上,執行以下作業: 1. 針對**角色名稱**,輸入描述性名稱,例如 **msk-tutorial-role**。 **重要** 當您命名角色時,請注意下列事項: 角色名稱在您的 中必須是唯一的 AWS 帳戶,而且無法依大小寫設為唯一。 例如,不要同時建立名為 **PRODROLE** 和 **prodrole** 的角色。當角色名稱用於政策或 ARN 的一部分時,角色名稱會區分大小寫,但是當角色名稱在主控台中顯示給客戶時,例如在登入過程中,角色名稱不會區分大小寫。 因為其他實體可能會參考角色,所以在建立角色之後,就無法編輯其名稱。 1. (選用) 在**說明**中,輸入角色的說明。 1. (選用) 若要編輯角色的使用案例和許可,請在**步驟 1:選取信任的實體**或**步驟 2:新增許可**區段中,選擇**編輯**。 1. (選用) 若要協助識別、組織或搜尋角色,請選擇**新增標籤**,將標籤新增為鍵/值對。例如,使用 **ProductManager**和 的鍵值對將標籤新增至您的角色**John**。 如需使用標籤的詳細資訊,請參閱《*IAM 使用者指南*》中的[AWS Identity and Access Management 資源的標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。 1. 檢閱角色,然後選擇 **Create role** (建立角色)。 **後續步驟** [步驟 3:建立用戶端機器](create-client-machine.md)